-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 23/08/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Denegación de servicio a través de scripts Python en Zope 2.x
-------------------------------------------------------------

Ha sido descubierta una vulnerabilidad en Zope que podría permitir a
un atacante remoto provocar una denegación de servicio.

Zope es un servidor de aplicaciones, escrito en lenguaje Python. Su
extrema flexibilidad, características novedosas (base de datos de
"objetos", fácil extensibilidad, componentes) y su bajo precio (se
trata de una solución "open source") lo hacen especialmente atractivo
para desarrollos web.

La vulnerabilidad se basa en un error al procesar scripts en Python que contengan "raise SystemExit" o determinadas llamadas a las funciones
"encode" y "decode". Un atacante remoto con acceso no restringido al ZMI
(Zope Management Interface) y a la edición de scripts Python podría
efectuar un ataque de denegación de servicio.

Se recomienda aplicar el siguiente parche para las versiones desde la
2.7 a 2.11 disponible en:
http://www.zope.org/advisories/Hotfix_20080812.tar.gz

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3591/comentar

Más información:

Zope PythonScripts Processing Denial of Service Vulnerability http://www.frsirt.com/english/advisories/2008/2418


Laboratorio Hispasec
laboratorio@hispasec.com


Tal día como hoy:
-----------------

23/08/2007: ¿Spam, estafa, phishing, o marketing agresivo?
http://www.hispasec.com/unaaldia/3225

23/08/2006: El último parche acumulativo para Internet Explorer introduce una nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860

23/08/2005: Salto de restricciones de seguridad en BEA WebLogic 8.1 Portal
http://www.hispasec.com/unaaldia/2495

23/08/2004: Vulnerabilidades en cámaras de red y servidores de vídeo Axis
http://www.hispasec.com/unaaldia/2129

23/08/2003: Nuevo caso de "phishing", esta vez con Citibank
http://www.hispasec.com/unaaldia/1763

23/08/2002: Parche para los componentes web de Microsoft Office
http://www.hispasec.com/unaaldia/1398

23/08/2001: Denegación de servicio por el controlador IrDA en Windows 2000
http://www.hispasec.com/unaaldia/1033

23/08/2000: Denegación de servicios a las extensiones FrontPage
http://www.hispasec.com/unaaldia/667

23/08/1999: Vulnerabilidades en las impresoras QMS 2060
http://www.hispasec.com/unaaldia/300


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)